| 講演名 | 2015-06-12 攻撃インフラの時系列変動特性に基づく悪性ドメイン名の検知法 千葉 大紀(NTT/早大), 八木 毅(NTT), 秋山 満昭(NTT), 森 達哉(早大), 矢田 健(NTT), 針生 剛男(NTT), 後藤 滋樹(早大), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | サイバー攻撃を実施する攻撃者は,自身の保有する悪性サイトを頻繁に変化させて運用することで,ブラックリストに代表される対策を回避する.変化し続ける悪性サイトに対応するため,未発見の悪性ドメイン名をネットワーク特性やドメイン名特性を利用して検知する手法がこれまでに提案されてきた.しかし,従来手法はある時点までに得られた情報のみに基づいた解析を実施していることから,利用形態が変化し続ける悪性サイトを正しく評価できない.そこで本研究では攻撃者のドメイン名の運用方法,特にその時間的変化の経緯に着目した悪性ドメイン名の検知手法を提案する.さらに,提案手法によって検知した悪性ドメイン名を用いて,効果的な対策を実現するためのリスト粒度を決定する手法を実現する.最新の大規模な実データを利用した評価を実施した結果,提案手法は従来手法では特定困難な悪性ドメイン名を高精度に検知可能なことが判明した.また,ドメイン名単位のリストの粒度で効率的にブロッキング可能な悪性サイトが多く存在することを明らかにした. |
| 抄録(英) | Attackers launching cyber attacks frequently change their malicious websites to evade countermeasures such as blacklisting. To detect such changing malicious websites, many detection methods using the network and domain name based characteristics have been proposed. However, a typical detection method fails to evaluate changing malicious websites since the method only relies on the information at a certain point in time. Therefore, we propose a new detection method of malicious domain names focusing on the characteristics of attackers behavior, especially the changing situation of malicious domain names. Moreover, we realize the method for determining the optimal granularity of malicious domain names for preventing users from accessing them. Our evaluation using large and latest real dataset reveals that our method successfully detects previously undetectable malicious domain names by the typical method. The evaluation also shows that many malicious websites can be effectively blocked using the granularity of domain names. |
| キーワード(和) | ドライブバイダウンロード攻撃 / ドメイン名 / ブラックリスト / DNS / 機械学習 |
| キーワード(英) | Drive-by download attack / Domain name / Blacklisting / DNS / Machine learning |
| 資料番号 | IA2015-10,ICSS2015-10 |
| 発行日 | 2015-06-04 (IA, ICSS) |
| 研究会情報 | |
| 研究会 | IA / ICSS |
|---|---|
| 開催期間 | 2015/6/11(から2日開催) |
| 開催地(和) | 九工大 百周年中村記念館 |
| 開催地(英) | Kyushu Institute of Technology Univ. |
| テーマ(和) | インターネットセキュリティ、一般 |
| テーマ(英) | Internet Security, etc. |
| 委員長氏名(和) | 吉田 健一(筑波大) / 三宅 優(KDDI研) |
| 委員長氏名(英) | Ken-ichi Yoshida(Univ. of Tsukuba) / Yutaka Miyake(KDDI R&D Labs.) |
| 副委員長氏名(和) | 大崎 博之(関西学院大) / 地引 昌弘(NICT) / 中村 豊(九工大) / 西出 隆志(筑波大) / 白石 善明(神戸大) |
| 副委員長氏名(英) | Hiroyuki Osaki(Kwansei Gakuin Univ.) / Masahiro Jibiki(NICT) / Yutaka Nakamura(Kyushu Inst. of Tech.) / Takashi Nishide(Univ. of Tsukuba) / Yoshiaki Shiraishi(Kobe Univ.) |
| 幹事氏名(和) | 松浦 知史(東工大) / 義久 智樹(阪大) / 植田 武(三菱電機) / 高倉 弘喜(NII) |
| 幹事氏名(英) | Satoshi Matsuura(Tokyo Inst. of Tech.) / Tomoki Yoshihisa(Osaka Univ.) / Takeshi Ueda(Mitsubishi Electric) / Hiroki Takakura(NII) |
| 幹事補佐氏名(和) | 屏 雄一郎(KDDI研) / 山本 寛(立命館大) / 渡辺 俊貴(NEC) / 吉岡 克成(横浜国大) / 神谷 和憲(NTT) |
| 幹事補佐氏名(英) | Yuichiro Hei(KDDI R&D Labs.) / Hiroshi Yamamoto(Ritsumeikan Univ.) / Toshiki Watanabe(NEC) / Katsunari Yoshioka(Yokohama National Univ.) / Kazunori Kamiya(NTT) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Internet Architecture / Technical Committee on Information and Communication System Security |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 攻撃インフラの時系列変動特性に基づく悪性ドメイン名の検知法 |
| サブタイトル(和) | |
| タイトル(英) | Detecting Malicious Domain Names based on the Time-series Analysis of Attackers Network Resources |
| サブタイトル(和) | |
| キーワード(1)(和/英) | ドライブバイダウンロード攻撃 / Drive-by download attack |
| キーワード(2)(和/英) | ドメイン名 / Domain name |
| キーワード(3)(和/英) | ブラックリスト / Blacklisting |
| キーワード(4)(和/英) | DNS / DNS |
| キーワード(5)(和/英) | 機械学習 / Machine learning |
| 第 1 著者 氏名(和/英) | 千葉 大紀 / Daiki Chiba |
| 第 1 著者 所属(和/英) | 日本電信電話株式会社/早稲田大学(略称:NTT/早大) Nippon Telegraph and Telephone Corporation/Waseda University(略称:NTT/Waseda Univ.) |
| 第 2 著者 氏名(和/英) | 八木 毅 / Takeshi Yagi |
| 第 2 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) Nippon Telegraph and Telephone Corporation(略称:NTT) |
| 第 3 著者 氏名(和/英) | 秋山 満昭 / Mitsuaki Akiyama |
| 第 3 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) Nippon Telegraph and Telephone Corporation(略称:NTT) |
| 第 4 著者 氏名(和/英) | 森 達哉 / Tatsuya Mori |
| 第 4 著者 所属(和/英) | 早稲田大学(略称:早大) Waseda University(略称:Waseda Univ.) |
| 第 5 著者 氏名(和/英) | 矢田 健 / Takeshi Yada |
| 第 5 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) Nippon Telegraph and Telephone Corporation(略称:NTT) |
| 第 6 著者 氏名(和/英) | 針生 剛男 / Takeo Hariu |
| 第 6 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) Nippon Telegraph and Telephone Corporation(略称:NTT) |
| 第 7 著者 氏名(和/英) | 後藤 滋樹 / Shigeki Goto |
| 第 7 著者 所属(和/英) | 早稲田大学(略称:早大) Waseda University(略称:Waseda Univ.) |
| 発表年月日 | 2015-06-12 |
| 資料番号 | IA2015-10,ICSS2015-10 |
| 巻番号(vol) | vol.115 |
| 号番号(no) | IA-80,ICSS-81 |
| ページ範囲 | pp.51-56(IA), pp.51-56(ICSS), |
| ページ数 | 6 |
| 発行日 | 2015-06-04 (IA, ICSS) |